一封合作邀請,讓一個頻道消失了

YouTube 創作者帳號被盜的方式,在過去幾年已經形成了相當固定的模式。 受害者收到一封外觀專業的電子郵件,聲稱來自某個品牌或工具廠商,提供合作機會或免費產品試用,附上一個需要下載的合約文件或產品介紹。這個附件或連結背後,是一個設計用來竊取瀏覽器登入 Cookie 的惡意程式。 一旦 Cookie 被竊取,攻擊者不需要知道密碼,也不需要通過雙重驗證,就能以你的身份直接登入 YouTube Studio,把頻道的所有影片刪除或設為私人,把頻道名稱和圖示改成加密貨幣詐騙的內容,然後開始直播假冒知名人士的投資詐騙。 整個過程可能在幾分鐘內完成,而你在那個時候可能完全不知道任何事情正在發生。 延伸閱讀:Discord Token 是什麼?為什麼帳號被盜常常跟它有關

Cookie 竊取攻擊為什麼能繞過雙重驗證

這是很多人在聽到自己的頻道被盜之後最困惑的問題,明明已經開啟了雙重驗證,為什麼還是被盜? 雙重驗證保護的是登入這個動作本身,它要求在輸入密碼之後,再提供一個額外的驗證碼。但當你在一台裝置上完成登入之後,瀏覽器會儲存一組代表這次登入階段的 Cookie,後續的操作都靠這組 Cookie 來驗證身份,不需要重新輸入密碼或驗證碼。 如果惡意程式成功從你的瀏覽器中提取了這組 Cookie,攻擊者把它匯入到他們自己的瀏覽器,就等於複製了你已經通過驗證的登入狀態,雙重驗證在這個環節完全沒有介入的機會。 延伸閱讀:瀏覽器擴充功能安全嗎?安裝前你應該先確認哪些權限

哪些設定應該現在就確認

Google 帳號的安全性檢查 YouTube 頻道綁定在 Google 帳號上,帳號的安全設定直接決定了頻道的安全狀態。進入 myaccount.google.com 的安全性頁面,確認近期的登入活動是否都是自己的操作,確認已授權的第三方應用程式清單,移除任何不認識或不再使用的授權。 延伸閱讀:Gmail 安全設定完整檢查:過濾器、轉寄規則與第三方存取 頻道管理員權限的確認 YouTube Studio 允許帳號擁有者新增其他 Google 帳號作為頻道管理員,這個功能在多人協作的頻道管理中很實用,但同時也是一個需要定期確認的安全設定。進入 YouTube Studio 的設定頁面,在權限的分頁中確認目前有哪些帳號被授予了管理權限,移除任何你不認識或不再需要的授權。 Google 進階保護計畫 對於有大量訂閱者的頻道創作者,Google 的進階保護計畫提供了比一般雙重驗證更強的帳號保護,要求使用實體安全金鑰作為驗證裝置,大幅提高了帳號被遠端入侵的難度。這個計畫的使用體驗比一般帳號設定更嚴格,但對於帳號價值較高的創作者來說,這個取捨是值得考慮的。

YouTube 創作者帳號被釣魚攻擊接管的五步驟流程說明資訊圖。

收到合作邀請時,幾個降低風險的基本習慣

創作者帳號被盜的入口,絕大多數都是電子郵件中的附件或連結,而這些信件通常看起來相當專業,不像傳統詐騙郵件那樣有明顯的拼寫錯誤或奇怪的格式。 在點擊任何附件或連結之前,可以先做幾個基本的確認。對方的信箱域名是否與聲稱的公司官方域名一致,發送合作邀請的公司是否真實存在,可以在網路上查到獨立的公司資訊。如果附件是一個可執行檔、壓縮檔,或是需要啟用巨集的 Office 文件,這些格式在合作邀請的情境下是不合理的,正常的合約或產品說明不需要可執行的程式碼。 如果已經不小心下載並執行了可疑檔案,應該立即登出所有 Google 服務、更改 Google 帳號密碼,並在 Google 帳號的安全性頁面撤銷所有現有的登入階段。如果在這個過程中需要協助確認目前的帳號安全狀態,VexelOps 可以提供具體的排查方向。 延伸閱讀:Autoruns 是什麼?Windows 每次開機背後悄悄啟動的程式,你真的知道有哪些嗎

關於 YouTube 帳號安全,創作者最常問的幾個問題

頻道被接管後,被刪除的影片可以找回來嗎?

這取決於攻擊者對影片做了什麼操作,以及你在發現問題後多快回報給 Google。如果影片是被設為私人或隱藏,在帳號恢復後通常可以恢復可見性。 如果影片已經被永久刪除,在一定時間內 Google 的後台可能仍然保有備份,帳號恢復申請中可以說明這個情況,要求協助確認是否有辦法恢復。但這個結果不是有保證的,能否恢復取決於刪除的時間長度和 Google 的資料保留政策。這也是為什麼定期在本地備份重要影片的原始檔案,是創作者應該建立的習慣,而不是把原始檔案只存在雲端的一個地方。

頻道被盜期間直播了詐騙內容,我有法律責任嗎?

帳號在未經授權的情況下被他人使用,在法律上屬於你的帳號被盜用,而不是你本人的行為。但這個情況需要清楚的文件記錄來支撐,包括你何時發現帳號異常、向 Google 回報的時間紀錄,以及任何能夠說明帳號在特定時間段內不在你控制下的佐證資料。 如果直播的詐騙內容造成了他人的財務損失,受害者可能會嘗試追究帳號持有人的責任,這種情況下完整的事件文件紀錄是你說明情況的基礎。

小頻道也需要這樣擔心安全問題嗎?

訂閱人數少的頻道同樣是攻擊目標,原因在於批量攻擊的邏輯,攻擊者不是針對特定大型頻道,而是同時對大量創作者發送釣魚信件,只要有一定比例的人點擊,就能取得足夠數量的帳號用於詐騙直播。 帳號規模不影響你成為攻擊目標的可能性,影響的只是攻擊者在取得帳號後能利用它做多大規模的詐騙。安全設定的確認對所有創作者都是有意義的,不需要等到頻道長大了才開始重視。

One Key Takeaway: YouTube 創作者帳號被盜最常見的入口是一封看起來正常的合作邀請,而不是密碼被破解,了解 Cookie 竊取攻擊的運作邏輯,以及定期確認帳號的管理員權限,是目前最直接的防範方式。